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Die DeTeMobil Deutsche Telekom MobilNet GmbH in Bonn/ 
Deutschland hat eine Patentanmeldung unter der Bezeichnung 

"Verfahren zur Erhdhung der Sicherheit von 
Authentisierungsverf ahren in digitalen Mobil - 
funksystemen" 



am 7. September 1998 beim Deutschen Patent- und Markenamt 
eingereicht. 

Die angehefteten Stiicke sind eine richtige und genaue Wieder- 
gabe der urspriinglichen Unterlagen dieser Patentanmeldung. 



Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig 
die Symbole H 04 Q, H 04 L und H 04 B der Internationalen 
Patentklassif ikation erhalten. 
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Deutsches Patent- und Markenamt 
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Zusammenfassung 

Die Erfindung betrifft ein Verfahren zur Erhohung der 
Sicherheit von Authentisierungsverf ahren in digitalen 
Mobilfunksystemen. Urn ein Ausspahen des geheimen Schlussels 
KI zur erschweren, bzw. nahezu unmoglich zu machen wird 
vorgeschlagen, dass im Mobilf unknetz und auf einem 
Teilnehmeridentitatsmodul mehrere verschieden geheime, SIM- 
spezifische Schlussel KI vorgehalten werden, und bei der 
Authentisierung zwischen dem Teilnehmeridentitatsmodul und 
dem Mobilfunknetz von der SIM aus den mehreren vorgehaltenen 
geheimen Schlusseln ein Schlussel KI fur die Durchfuhrung der 
Authentisierung ausgewahlt wird. 
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Verfahren zur Erhohung der Sicherheit von 
Authentisierungsverfahren in digitalen Mobilfunksystemen 

Beschreibung 

Die Erfindung betrifft ein Verfahren zur Erhohung der 
Sicherheit von Authentisierungsverfahren in digitalen 
Mobilfunksystemen nach dem Oberbegriff des Patentanspruchs 1. 

Moderne Mobil funknetze beinhalten spezielle 
Sicherheitsmassnahmen, die einen Missbrauchsschutz von 
Betriebsmitteln durch andere, als die autorisierten 
Teilnehmer, sowie Schutz vor einem moglichen Abhoren der 
Funkschnittstelle beinhalten. Die Sicherheitsmassnahmen 
beziehen sich dabei auf den Schutz der Beziehung zwischen 
Mobilf unknetz und autorisiertem Teilnehmer. Ein spezielles 
Verfahren zur Authentisierung der Teilnehmer soil verhindern, 
dass ein Dritter die Identitat eines autorisierten 
Teilnehmers vortauschen kann. Ein Teilnehmer muss sich dazu 
mittels der auf seinem Teilnehmeridentitatsmodul (SIM) 
gespeicherten Daten und Funktionen gegenuber dem 
Mobilf unknetz authentif izieren . Es hat sich in der 
Vergangenheit immer wieder gezeigt, dass das Kompromitieren 
von Authentisierungsverfahren, d.h. das Ausspahen des 



geheimen Schlussels KI des Teilnehmers mit entsprechendem 
Fachwissen und geeigneten Geratschaf ten moglich ist, indem 
Folgen von den bei der Authentisierung verwendeten 
Zufallszahlen und Antwortzahlen, d.h. RAND/SRES-Paaren, in 
grosser Anzahl mathematischen Verfahren unterzogen werden, um 
den geheimen Schlussel KI eines Teilnehmers zu ermitteln. Ist 
der geheime Schlussel KI erst einmal ermittelt, ist eine 
illegale Duplizierung von Teilnehmeridentitatsmodulen (SIMs) 
moglich . 

Bei dem derzeit angewendeten Authentisierungsverf ahren 
ermittelt das Mobilf unknetz mit speziellen Algorithmen und 
einem SIM-spezif ischen, geheimen Schlussel KI aus einem 
Zufallswert RAND ein Authentisierungsergebnis SRES und einen 
temporaren Schlussel KC . Dabei halt das Mobilf unknetz eine 
bestimmte Anzahl von RAND/ SRES/KC-Triplets vor . will sich ein 
Teilnehmer einbuchen, sendet das Mobilf unknetz eine 
Zufallszahl RAND an das Teilnehmeridenti tatsmodul SIM. Die 
SIM ermittelt mit dem gleichen, speziellen Algorithmus und 
seinem SIM-spezif ischen, geheimen Schlussel KI ein 
dazugehorendes SRES/KC-Paar und sendet die ermittelte SRES 
zuriick an das Mobilf unknetz . Das Mobilf unknetz vergleicht die 
empfangene SRES mit der vorgehaltenen SRES auf 

Ubereinstimmung, wobei bei Ubereinstimmung der Teilnehmer als 
authentifiziert gilt. Der auf beiden Seiten berechnete 
Schlussel KC wird auf beiden Seiten zur Verschliisselung der 
Ubertragung verwendet . 

Wie gesagt besteht bei dem derzeit verwendeten Verfahren die 
Moglichkeit, den Schlussel KI auszuspahen, um so unbefugt 
Zugang zum Mobilf unknetz zu erhalten. 



Der vorliegenden Erfindung liegt deshalb die Aufgabe 
zugrunde, ein Verfahren zur Erhohung der Sicherheit 



Authentisierungsverf ahren in digitalen Mobilf unksystemen 
vorzuschlagen, durch welches das Ausspahen des geheimen 
Schlussels nahezu unmoglich wird. 

Diese Aufgabe wird durch die kennzeichnenden Merkmale des 
Patentanspruchs 1 geldst. 

Die Erfindung beruht nun darauf , dass im Mobilf unknetz und 
auf dem Teilnehmeridentitatsmodul mehrere verschiede geheime, 
SIM-spezif ische Schliissel KI vorgehalten werden, und bei der 
Authentisierung zwischen Teilnehmeridentitatsmodul und 
Mobilf unknetz aus den mehreren vorgehaltenen geheimen 
Schliisseln ein Schliissel fur die Durchfiihrung der 
Authentisierung ausgewahlt wird. 

Der Vorteil dieses Verfahrens liegt darin, dass ein 
Kompromitieren, d.h. ein Ausspahen des geheimen Schlussels KI 
der SIM wesentlich erschwert wird, da fur den Angreifer nicht 
vorhersehbar und nicht erkennbar ist, welcher geheime 
Schliissel KI von der SIM zur Errechnung der SRES-Antwort 
verwendet wurde . 

Weiterer wesentlicher Vorteil dieses Verfahrens ist, dass 
eine Anderung an den Schnittstellen des Mobilf unknetzes , 
insbesondere der Luf tschnittstelle, nicht erforderlich ist, 
und ebenso keine Anderungen an den Endgeraten vorgenommen 
werden mussen. Es sind lediglich lokale sof twaretechnische 
Anderungen an einzelnen Netzkomponenten des Mobilf unknetzes 
sowie auf der SIM erforderlich, die mit geringem Aufwand und 
nahezu ohne zusatzliche Kosten durchf iihrbar sind. 

Vorteilhafte Weiterbildungen und Ausf iihrungsf ormen der 
Erfindung sind in den abhangigen Patentanspruchen angegeben. 



Vorteilhaft erfolgt die Auswahl des verwendeten SchUissels KI 
durch die SIM nach dem Zuf allsprinzip . 

in einer bevorzugten Ausfahrung ermittelt das Mobilf unknetz 
mit speziellen Algorithmen unter Vorgabe jeweils exner 
Zufallszahl RAND fur alle SIM-spezif ischen Schlussel KI exnes 
Teilnehmers ein SRES/KC-Paar und bildet mit dem jeweils 
verwendeten RAND die sogenannten RAND/SRES/KC-Triplets Dxese 
Triplets werden im Mobilf unknetz vorgehalten und sind fur 
zukunftige Authentisierungsprozeduren abrufbar. 

Zur initiierung einer Authentisierung sendet das 
Mobilfunknetz einen Zufallswert RAND eines dieser Trxplets an 
das Teilnehmer-Identitatsmodul SIM, wobei das 

Te ilnehmeridentitatsmodul anhand der abermittelten RAND exnen 
verfagbaren Schiassel auswahlt und anhand dieses ausgewahlten 
Schiassel. KI die zugeh5rigen Werte far die Antwort SRES und 
den Schlussel KG berechnet und die Antwort SRES an das 
Mobilf unknetz zurucksendet . 

Xm Mobilfunknetz findet nun ein Vergleich auf Obereinstimmung 
der empfangenen Antwort SRES mit alien far den verwendeten 
RAND vorgehaltenen SRES-Werten statt, wobei wenn exne 
Obereinstimmung zwischen zwei teilnehmerspezif ischen 
Antworten SRES vorliegt der Teilnehmer als authentxsxert 
gilt. 

Vorteilhaft wird das Mobilfunknetz nun den zu den 
abereinstimmenden SRES geh5renden KG zur Verschiasselung der 
Ubertragung verwenden, wobei der identische Schiassel KG xn 
der SIM vorliegt und auch dort zur Verschiasselung der 
Ubertragung verwendet wird. 



Nachfolgend wird ein Ausf uhrungsbeispiel der Erfindung anhand 
einer Zeichnungsf igur naher erlautert. Dabei gehen aus der 
Zeichnung und der zugehorigen Beschreibung weitere Merkmale 
und Vorteile der Erfindung hervor. 

Figur 1 zeigt in vereinf achter Darstellung eine 
Authentisierungsprozedur nach dem erf indungsgemassen 
Verfahren. Zur Durchfuhrung des Verfahrens mussen fur jeden 
Teilnehmer im Mobilf unknetz als auch auf der 
teilnehmerspezif ischen SIM mehrere geheime Schlussel KI 
abgelegt sein. 



Mobilf unknetz : Teilnehmer X 
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Wie die obenstehende Tabelle zeigt sind im Mobilf unknetz fur 
jeden Teilnehmer X beispielsweise drei geheime Schlussel KI 
abgelegt, wobei nun das Mobilf unknetz unter Vorgabe von 
mehreren Zuf allszahlen RAND 1, RAND 2 und RAND 3 die fur 
j ewe ils die geheimen Schlussel KI 1, KI 2 und KI 3 
zugehorigen SRES-Antworten und Schlussel KC berechnet und 
abspeichert . 

Auch im Teilnehmeridenti tatsmodul fur den Teilnehmer X sind 
die drei moglichen Schlussel KI 1, KI 2 und KI 3 abgelegt. 



Will sich der Teilnehmer X nun im Mobilf unknetz einbuchen. so 
mU ss zunachst die Authentisierungsprozedur durchgefuhrt 
werden, wie sie in Pigur.l angedeutet ist. Dazu sendet das 
T.ilnehmeridentitatsmodul Uber ein entsprechendes Endgerat 
zunachst die Teilnehmeridentitatsnummer IMS I an das 
Mobilfunknetz. Wird diese IMSI als zulassig erkannt. dann 
wahlt das Mobilfunknetz aus den fur den Teilnehmer X 
vorgehaltenen zuf allswerten RAND einen zufallswert bxer 
beispielsweise RAND 3. aus und sendet diesen zuruck an das 
Teilnehmeridentitatst-odul. Das Teilnehmeridentitatsmodul 
wahlt wiederum einen der teilnehraerspezif ischen, 
Scnlassel KI aus. beispielsweise KI 2, und berechnet aus der 
vom Mobilfunknetz ernaltenen RAND 3 und dem KI 2 dre 
zugehSrige SRES-Antwort und den Scnlassel KC . Ore 
Anlort. die aus de, ScnlUssel KX 2 und der RAND 3 geb Idet 
mr ,e, wird wieder zur*=k an das Mobilfunknetz gesendet und 
d ort ndt de m vorgehaltenen SRES-wert far KI 2 und RAND 3 
verglichen. Stimmen diese SRES-Werte uberein, so grit 
Teilnehmer als authentisiert und kann sich m das 
Mobilfunknetz einbuchen. Der auf beiden Seiten v°rlregende 
SchlGssel KC wird wahrend der neu hergestellten Verbrndung 
zur Verschlusselung der Datenubertragung verwendet. 




Patentanspriiche 

l.Verfahren zur Erhohung der Sicherheit von 

Authentisierungsverf ahren in digitalen Mobilf unksystemen, 

dadurch gekennzeichnet , 

da^ im Mobilf unknetz und auf einem 

Teilnehmeridentitatsmodul ( SIM) mehrere verschiedene 
geheime, SIM-spezif ische Schliissel (KI) vorgehalten 
werden, und bei der Authentisierung zwischen 
Teilnehmeridentitatsmodul und Mobilf unknetz von der SIM 
♦ aus den mehreren, vorgehaltenen geheimen Schliisseln ein 

Schliissel (KI) fur die Durchfiihrung der Authentisierung 
ausgewahlt wird. 

2 . Verf ahren nach Anspruch 1, dadurch gekennzeichnet, daS die 

Auswahl des Schliissels (KI) durch das 

Teilnehmeridentitatsmodul SIM nach dem Zuf allsprinzip 
erf olgt . 

3 . Verf ahren nach Anspruch 1 Oder 2, dadurch gekennzeichnet, 

da£ das Mobilf unknetz mit speziellen Algorithmen unter 

v Vorgabe einer Zufallszahl (RAND) fur alle SIM-spezif ischen 

t 

Schliissel (KI) ein SRES/KC-Paar ermittelt, die mit dem 
jeweiligen RAND RAND/ SRES/KC- Triplets bilden. 

4 . Verf ahren nach einem der Anspriiche 1 bis 3 , dadurch 

gekennzeichnet, daS die gebildeten RAND/ SRES/KC -Triplets 
im Mobilf unknetz vorgehalten werden. 

5 . Verf ahren nach einem der Anspriiche 1 bis 4, dadurch 

gekennzeichnet, date vom Mobilf unknetz zur Initiierung 
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FIGUR 1 



